Original-URL des Artikels: http://www.golem.de/news/datenschutz-sicherheitsluecke-in-skype-entdeckt-1211-95707.html    Veröffentlicht: 14.11.2012 13:33

Datenschutz

Sicherheitsgefahr in Skype entdeckt

Microsoft hat das Zurücksetzen des Skype-Kennworts deaktiviert. Damit soll verhindert werden, dass eine Sicherheitsgefahr in Skype weiterhin ausgenutzt werden kann. Angreifer konnten ohne große Mühe an die Skype-Zugangsdaten gelangen.

Skype hat seine Funktion zum Zurücksetzen des Kennwortes deaktiviert. Der Dienst hatte ein Sicherheitsrisiko und Microsoft hat die Funktion nun abgeschaltet, um weiteren Missbrauch zu verhindern. Seit langem gibt es in Skype die Möglichkeit, das Skype-Kennwort zurückzusetzen. Diese Funktion steht für Nutzer zur Verfügung, die ihr Skype-Kennwort vergessen haben. Das Problem dabei ist, dass Unbefugte das Kennwort für beliebige andere Skype-Konten zurücksetzen können.

Angreifer benötigten zum Verändern des Skype-Kennworts lediglich die E-Mail-Adresse, die dem Skype-Konto zugeordnet ist. Eigentlich sollten Fremde mit diesen Daten keine Möglichkeit haben, an ein neues Kennwort zu gelangen. Üblicherweise wird nach Eingabe der E-Mail-Adresse ein neues Kennwort an den Nutzer gesendet. Damit wird erreicht, dass das neue Kennwort nur an Personen übermittelt wird, die im Besitz der E-Mail-Zugangsdaten sind.

Unbefugte brauchten nur die E-Mail-Adresse zum Skype-Konto

Im Fall von Skype war das anders: Ein Unbefugter konnte das Kennwort ändern, ohne die Zugangskonten für das E-Mail-Konto zu kennen. In der Skype-Applikation wurde das neue Kennwort angezeigt, ohne dass ein Zugriff auf das E-Mail-Postfach erforderlich war. So direkt war ein Angriff aber nicht möglich, denn der Nutzer musste dazu im Skype-Client angemeldet sein.

Dazu konnte ein Angreifer ein neues Skype-Konto anlegen. Dieses neue Konto wurde der E-Mail-Adresse zugewiesen, die auch mit dem bestehenden Skype-Konto verbunden ist. Microsoft ordnete dann beiden Skype-Konten diese eine E-Mail-Adresse zu. Dadurch erhielt ein Angreifer den Zugriff auf das andere Skype-Konto und konnte für dieses das Kennwort zurücksetzen.

Derzeit ist nicht bekannt, ob die Sicherheitsgefahr aktiv ausgenutzt wurde.

Nachtrag vom 14. November 2012, 17:01 Uhr

Skype hat den Fehler bestätigt, beseitigt und den Passwort-Reset-Prozess wieder freigeschaltet. Von dem Fehler sollen nur wenige Nutzer betroffen gewesen sein; solche, die mehrere Skype-Accounts unter derselben E-Mail-Adresse registriert hatten. Die entsprechenden Nutzer will Skype kontaktieren.  (ip)


Verwandte Artikel:
Mehr Platz: Skype für Android nutzt nun Tablet-Displays   
(20.11.2012 22:56, http://www.golem.de/news/mehr-platz-skype-fuer-android-nutzt-nun-tablet-displays-1211-95837.html)
Videotelefonie: Skype 4.1 für Linux mit Messenger-Anschluss   
(16.11.2012 13:46, http://www.golem.de/news/videotelefonie-skype-4-1-fuer-linux-mit-messenger-anschluss-1211-95760.html)
Microsoft: Skype bietet einen Monat kostenlose Anrufe ins Ausland   
(15.11.2012 17:02, http://www.golem.de/news/microsoft-skype-bietet-einen-monat-kostenlose-anrufe-ins-ausland-1211-95740.html)
Messenger: Alternativen zum unsicheren Whatsapp   
(14.11.2012 12:05, http://www.golem.de/news/messenger-alternativen-zum-unsicheren-whatsapp-1211-95047.html)
Windows Phone 8: Vorabversion von Skype erlaubt Anrufe im Hintergrund   
(12.11.2012 10:40, http://www.golem.de/news/windows-phone-8-vorabversion-von-skype-erlaubt-anrufe-im-hintergrund-1211-95645.html)

© 2014 by Golem.de